Lỗ hổng từ chối dịch vụ nghiêm trọng trong OpenSSL

Nhà sáng lập OpenSSL gần đây đã xử lý hàng loạt lỗ hổng trong thư viện mã hóa của mình bao gồm một lỗ hổng nghiêm trọng có thể khai thác trong tấn công từ chối dịch vụ (Dos).

OpenSSL là một thư viện mã nguồn mở cung cấp mã hóa cho kết nối Internet thông qua giao thức Secure Sockets Layer (SSL) hoặc Transport Layer Security (TLS). Các lỗ hổng tồn tại trong OpenSSL phiên bản 1.0.1, 1.0.2 và 1.1.0 và được vá trong phiên bản 1.1.0a, 1.0.2i và 1.0.1u

Riêng lỗ hổng nghiên trọng CVE-2016-6304 có thể bị khai thác thông qua việc gửi một OCSP Status Request lớn tới máy chủ trong quá trình kết nối, dẫn đến cạn kiệt bộ nhớ nhằm tấn công từ chối dịch vụ.

Giao thức OCSP là gì?

OCSP(Online Certificate Status Protocol), được hỗ trợ bởi hầu hết các trình duyệt web, là một giao thức thực hiện xác minh và theo dõi thời gian thu hồi của một chứng chỉ số của website. OCSP chia thành hai phần client và server. Khi một ứng dụng hoặc một trình duyệt web chứng thực chứng chỉ SSL, phần client sẽ gửi request tới một bộ phản hồi trực tuyến thông qua giao thức HTTP, sau đó kết quả trả về là trạng thái của chứng chỉ – khả dụng hay không.

Tin tặc có thể sử dụng phần mở rộng TLS “TLSEXT_TYPE_status_request” khiến cho định danh gói tin OCSP liên tục gọi đến máy chủ, khiến bộ nhớ liên tục tăng không có giới hạn.

CÁCH NGĂN CHẶN TẤN CÔNG

Quản trị viên có thể giảm thiệu thiệt hại bằng cách sử dụng lệnh ‘no-ocsp’. Ngoài ra, máy chủ sử dụng các phiên bản OpenSSL trước 1.0.1g không bị ảnh hưởng vì đã được cấu hình mặc định.

Đội ngũ OpenSSL cũng xử lý 12 lỗ hổng có độ nghiêm trọng thấp, nhưng hầu hết trong số chúng không ảnh hưởng tới nhánh phiên bản 1.1.0

Điều đáng chú ý là OpenSSL Project dừng hỗ trợ OpenSSL phiên bản 1.0.1 vào 31/12/2016, do đó người dùng sẽ không nhận được bất cứ bản cập nhật nào năm 2017. Người dùng được khuyến cáo nâng cấp lên phiên bản mới nhất càng sớm càng tốt.

THN